ईमेल एक आम अटैक वेक्टर है जिसका इस्तेमाल धोखेबाजों और कंप्यूटर अपराधियों द्वारा किया जाता है। लेकिन अगर आपको लगता है कि इसका इस्तेमाल केवल मैलवेयर, फ़िशिंग और नाइजीरियाई अग्रिम शुल्क घोटाले फैलाने के लिए किया गया था, तो फिर से सोचें। एक नया ईमेल-संचालित घोटाला है जहां एक हमलावर आपका बॉस होने का दिखावा करेगा, और आपको कंपनी के हजारों डॉलर के फंड को उनके नियंत्रण वाले बैंक खाते में स्थानांतरित करने के लिए कहेगा।
इसे सीईओ धोखाधड़ी या "इनसाइडर स्पूफिंग" कहा जाता है।
हमले को समझना
तो, हमला कैसे काम करता है? ठीक है, एक हमलावर के लिए इसे सफलतापूर्वक निकालने के लिए, उन्हें उस कंपनी के बारे में बहुत सारी जानकारी जानने की आवश्यकता है जिसे वे लक्षित कर रहे हैं।
इनमें से अधिकांश जानकारी उस कंपनी या संस्थान की पदानुक्रमित संरचना के बारे में है जिसे वे लक्षित कर रहे हैं। उन्हें यह जानना होगा कि कौन वे प्रतिरूपण करेंगे। हालांकि इस प्रकार के घोटाले को "सीईओ धोखाधड़ी" के रूप में जाना जाता है, वास्तव में यह किसी को भी . को लक्षित करता है एक वरिष्ठ भूमिका के साथ - कोई भी जो भुगतान शुरू करने में सक्षम होगा। उन्हें अपना नाम और अपना ईमेल पता जानना होगा। यह उनके कार्यक्रम को जानने में भी मदद करेगा, और वे कब यात्रा करेंगे, या छुट्टी पर होंगे।
अंत में, उन्हें यह जानने की जरूरत है कि संगठन में कौन धन हस्तांतरण जारी करने में सक्षम है, जैसे कि एक लेखाकार, या वित्त विभाग में कार्यरत कोई व्यक्ति।
इस जानकारी का अधिकांश भाग विचाराधीन कंपनी की वेबसाइटों पर स्वतंत्र रूप से पाया जा सकता है। कई मध्यम और छोटे आकार की कंपनियों के पास "हमारे बारे में" पृष्ठ होते हैं, जहां वे अपने कर्मचारियों, उनकी भूमिकाओं और जिम्मेदारियों और उनकी संपर्क जानकारी को सूचीबद्ध करते हैं।
किसी का शेड्यूल ढूंढना थोड़ा कठिन हो सकता है। अधिकांश लोग अपने कैलेंडर को ऑनलाइन प्रचारित नहीं करते हैं। हालांकि, बहुत से लोग सोशल मीडिया साइटों जैसे ट्विटर, फेसबुक और झुंड (पूर्व में फोरस्क्वेयर) पर अपने आंदोलनों को प्रचारित करते हैं। एक हमलावर को केवल तब तक प्रतीक्षा करनी होगी जब तक वे कार्यालय से बाहर नहीं निकल जाते, और वे हमला कर सकते हैं।
एक बार जब हमलावर के पास हमले का संचालन करने के लिए आवश्यक पहेली का हर टुकड़ा होता है, तो वे वित्त कर्मचारी को ईमेल करेंगे, जो सीईओ होने का दावा करते हैं, और अनुरोध करते हैं कि वे अपने द्वारा नियंत्रित बैंक खाते में धन हस्तांतरण शुरू करें।
इसके काम करने के लिए, ईमेल को वास्तविक दिखना चाहिए। वे या तो ऐसे ईमेल खाते का उपयोग करेंगे जो 'वैध' या प्रशंसनीय लगता है (उदाहरण के लिए [email protected] ), या सीईओ के वास्तविक ईमेल को 'स्पूफिंग' करते हुए। यह वह जगह होगी जहां संशोधित हेडर के साथ एक ईमेल भेजा जाता है, इसलिए "प्रेषक:" फ़ील्ड में सीईओ का वास्तविक ईमेल होता है। कुछ प्रेरित हमलावर सीईओ को उन्हें ईमेल करने का प्रयास करेंगे, ताकि वे अपने ईमेल की शैली और सौंदर्यशास्त्र की नकल कर सकें।
हमलावर को उम्मीद होगी कि लक्षित कार्यकारी के साथ पहले जांच किए बिना वित्त कर्मचारी पर स्थानांतरण शुरू करने के लिए दबाव डाला जाएगा। यह शर्त अक्सर भुगतान करती है, कुछ कंपनियों ने अनजाने में सैकड़ों हजारों डॉलर का भुगतान किया है। फ्रांस में एक कंपनी जिसे बीबीसी ने प्रोफाइल किया था, को 100,000 यूरो का नुकसान हुआ। हमलावरों ने 500,000 प्राप्त करने का प्रयास किया, लेकिन एक को छोड़कर सभी भुगतान बैंक द्वारा अवरुद्ध कर दिए गए, जिन्हें धोखाधड़ी का संदेह था।
सोशल इंजीनियरिंग अटैक कैसे काम करता है
पारंपरिक कंप्यूटर सुरक्षा खतरे प्रकृति में तकनीकी होते हैं। नतीजतन, आप इन हमलों को हराने के लिए तकनीकी उपायों को नियोजित कर सकते हैं। यदि आप मैलवेयर से संक्रमित हो जाते हैं, तो आप एक एंटी-वायरस प्रोग्राम इंस्टॉल कर सकते हैं। अगर कोई आपके वेब सर्वर को हैक करने की कोशिश कर रहा है, तो आप किसी को पैठ परीक्षण करने के लिए नियुक्त कर सकते हैं और आपको सलाह दे सकते हैं कि आप मशीन को अन्य हमलों के खिलाफ कैसे 'कठोर' कर सकते हैं।
सोशल इंजीनियरिंग हमले - जिनमें से सीईओ धोखाधड़ी का एक उदाहरण है - के खिलाफ कम करना बहुत कठिन है, क्योंकि वे सिस्टम या हार्डवेयर पर हमला नहीं कर रहे हैं। वे लोगों पर हमला कर रहे हैं। कोड में कमजोरियों का फायदा उठाने के बजाय, वे मानव स्वभाव और अन्य लोगों पर भरोसा करने के लिए हमारी सहज जैविक अनिवार्यता का लाभ उठाते हैं। इस हमले की सबसे दिलचस्प व्याख्या 2013 में DEFCON सम्मेलन में की गई थी।
कुछ बेहद दुस्साहसी हैक सोशल इंजीनियरिंग के उत्पाद थे।
2012 में, पूर्व-वायर्ड पत्रकार मैट होनान ने खुद को साइबर अपराधियों के एक निर्धारित कैडर द्वारा हमले में पाया, जो उसके ऑनलाइन जीवन को खत्म करने के लिए दृढ़ थे। सोशल इंजीनियरिंग रणनीति का उपयोग करके, वे अमेज़ॅन और ऐप्पल को अपने मैकबुक एयर और आईफोन को दूरस्थ रूप से पोंछने, अपने ईमेल खाते को हटाने, और नस्लीय और समलैंगिकतापूर्ण विशेषण पोस्ट करने के लिए अपने प्रभावशाली ट्विटर खाते को जब्त करने के लिए आवश्यक जानकारी प्रदान करने के लिए मनाने में सक्षम थे। . आप द्रुतशीतन कहानी यहाँ पढ़ सकते हैं।
सोशल इंजीनियरिंग के हमले शायद ही कोई नया नवाचार हो। दशकों से सिस्टम, इमारतों और सूचनाओं तक पहुंच हासिल करने के लिए हैकर्स दशकों से उनका इस्तेमाल कर रहे हैं। सबसे कुख्यात सामाजिक इंजीनियरों में से एक केविन मिटनिक हैं, जो 90 के दशक के मध्य में कंप्यूटर अपराधों की एक श्रृंखला को अंजाम देने के बाद पुलिस से छिपते रहे। उन्हें पांच साल के लिए जेल में डाल दिया गया था, और 2003 तक कंप्यूटर का उपयोग करने से प्रतिबंधित कर दिया गया था। जैसे ही हैकर्स जाते हैं, मिटनिक उतना ही करीब था जितना आप रॉकस्टार का दर्जा प्राप्त कर सकते थे। जब उन्हें अंततः इंटरनेट का उपयोग करने की अनुमति दी गई, तो इसे लियो लापोर्टे के द स्क्रीन सेवर पर प्रसारित किया गया। ।
वह अंततः वैध हो गया। वह अब अपनी खुद की कंप्यूटर-सुरक्षा परामर्श फर्म चलाता है, और उसने सोशल इंजीनियरिंग और हैकिंग के बारे में कई किताबें लिखी हैं। शायद सबसे प्रसिद्ध "धोखे की कला" है। यह अनिवार्य रूप से छोटी कहानियों का संकलन है जो यह देखती है कि सोशल इंजीनियरिंग के हमलों को कैसे दूर किया जा सकता है, और उनसे खुद को कैसे बचाया जाए, और यह Amazon पर खरीदने के लिए उपलब्ध है।
धोखे की कला:सुरक्षा के मानवीय तत्व को नियंत्रित करना अभी अमेज़न पर खरीदें CEO धोखाधड़ी के बारे में क्या किया जा सकता है?
तो, चलिए संक्षेप करते हैं। हम जानते हैं कि सीईओ धोखाधड़ी भयानक है। हम जानते हैं कि इसमें बहुत सी कंपनियों को बहुत पैसा खर्च करना पड़ता है। हम जानते हैं कि इसे कम करना अविश्वसनीय रूप से कठिन है, क्योंकि यह मनुष्यों के खिलाफ हमला है, कंप्यूटर के खिलाफ नहीं। कवर करने के लिए आखिरी चीज यह है कि हम इसके खिलाफ कैसे लड़ते हैं।
ऐसा करना मुश्किल लेकिन कहना आसान है। यदि आप एक कर्मचारी हैं और आपको अपने नियोक्ता या बॉस से एक संदिग्ध भुगतान अनुरोध प्राप्त हुआ है, तो आप यह देखने के लिए उनके साथ (ईमेल के अलावा किसी अन्य विधि का उपयोग करके) जांच कर सकते हैं कि यह वास्तविक था या नहीं। उन्हें परेशान करने के लिए वे आपसे थोड़े नाराज़ हो सकते हैं, लेकिन वे शायद अधिक होंगे नाराज़ हैं अगर आपने किसी विदेशी बैंक खाते में $ 100,000 कंपनी निधि भेज दी है।
ऐसे तकनीकी समाधान हैं जिनका उपयोग भी किया जा सकता है। Office 365 के लिए Microsoft के आगामी अपडेट में इस प्रकार के हमले के खिलाफ कुछ सुरक्षा शामिल होगी, प्रत्येक ईमेल के स्रोत की जाँच करके यह देखने के लिए कि यह किसी विश्वसनीय संपर्क से आया है या नहीं। Microsoft का मानना है कि Office 365 नकली या नकली ईमेल की पहचान करने के तरीके में 500% सुधार प्राप्त कर चुका है।
डंक मत मारो
इन हमलों से बचाव का सबसे विश्वसनीय तरीका संशयवादी होना है। जब भी आपको कोई ईमेल मिले जो आपसे एक बड़ा धन हस्तांतरण करने के लिए कहे, तो अपने बॉस को कॉल करके देखें कि क्या यह वैध है। यदि आईटी विभाग के साथ आपका कोई संबंध है, तो उन्हें Office 365 पर जाने के लिए कहें, जो सीईओ धोखाधड़ी से लड़ने के लिए पैक का नेतृत्व कर रहा है।
मुझे निश्चित रूप से उम्मीद नहीं है, लेकिन क्या आप कभी पैसे से प्रेरित ईमेल घोटाले के शिकार हुए हैं? अगर ऐसा है तो मैं इसके बारे में सुनना चाहता हूं। नीचे एक टिप्पणी छोड़ें, और मुझे बताएं कि क्या हुआ।
<छोटा>फोटो क्रेडिट:एनोनडॉलर (आपका एनोन), मिगुएल द एंटरटेनमेंट सीईओ (जॉर्ज)